Gelsevirine

Descrição do Gelsevirine

O Gelsevirinie é entregue nas máquinas comprometidas por um carregador intermediário denominado Gelsemicine. O Gelsevirinie é o módulo de malware de último estágio implantado em ataques pelo grupo Gelsemium APT (Ameaca Persistente Avancada). O carregador existe em duas versões diferentes e a que é executada depende se o usuário infectado tem privilégios administrativos ou não. Se a vítima tiver os privilégios necessários, o Gelsevirine será colocado no C:\Windows\System32\spool\prtprocs\x64\winprint.dll, caso contrário, será entregue como uma DLL chamada chrome_elf.dll no CommonAppData/Google/Chrome/Aplicativo/Biblioteca/localização.

Uma vez implantado no sistema visado, o Gelsevirine inicia uma configuração complexa para alcançar e manter a comunicação com seu servidor de Comando e Controle. Primeiro, ele depende de uma DLL incorporada para desempenhar a função de intermediário. Além disso, uma configuração separada é responsável por lidar com os vários tipos de protocolo, como tcp, udp, http e https.

Os pesquisadores de Infosec foram capazes de detectar vários plug-ins buscados e iniciados pelo Gelsevirine, cada um carregando uma funcionalidade diferente. O plug-in FxCoder é uma ferramenta de compressão-descompressão que facilita a comunicação com o C&C. Em seguida, há o plug-in do utilitário capaz de manipular o sistema de arquivos no dispositivo comprometido. O último dos plug-ins observados é o Inter - uma ferramenta que permite a injeção de DLLs nos processos escolhidos.

Deixar uma Resposta

Por favor NÃO utilize este sistema de comentários para perguntas sobre pagamentos e suporte. Para solicitações de suporte técnico do SpyHunter, entre em contato diretamente com a nossa equipe de suporte técnico, abrindo um ticket de suporte ao cliente através do seu SpyHunter. Para problemas com pagamento, por favor acesse a página "Problemas ou Perguntas referentes ao Pagamento". Para solicitações genéricas (reclamaçōes, questōes legais, imprensa, marketing, direitos autorais) visite a nossa página "Perguntas e Comentários"n"


HTML não é permitido.